接入点身份鉴别方法及装置与流程

本发明涉及信息安全技术领域，尤其涉及一种接入点身份鉴别方法及装置。

背景技术：

随着移动网络的飞速发展以及社会信息化程度的逐步提高，基于位置服务已经在很多领域和生活中广泛使用。但现阶段，使用的无线局域网均假设处于安全的无攻击的环境中，然而无线网络由于其开放性极易受到各种恶意攻击。比如，恶意接入点就能够伪装成公共区域内的合法接入点，用于骗取用户与之连接，从而监听网络中所有的通信，或发起中间人攻击盗取用户的隐私数据。因此，现在在无线局域网中现急需一种接入点身份鉴别方法。

技术实现要素：

为了解决上述问题，本发明实施例提供一种克服上述问题或者至少部分地解决上述问题的接入点身份鉴别方法及装置。

根据本发明实施例的第一方面，提供了一种接入点身份鉴别方法，包括：

获取接入点发送信号时的无线信号强度信息；

将无线信号强度信息输入至粗粒度认证模型，输出接入点的第一层身份标识，粗粒度认证模型是基于样本无线信号强度信息及样本无线信号强度对应的身份标识训练得到的。

根据本发明实施例的第二方面，提供了一种接入点身份鉴别装置，包括：

第一获取模块，用于获取接入点发送信号时的无线信号强度信息；

第一输出模块，用于将无线信号强度信息输入至粗粒度认证模型，输出接入点的第一层身份标识，粗粒度认证模型是基于样本无线信号强度信息及样本无线信号强度对应的身份标识训练得到的。

根据本发明实施例的第三方面，提供了一种电子设备，包括：

至少一个处理器；以及

与处理器通信连接的至少一个存储器，其中：

存储器存储有可被处理器执行的程序指令，处理器调用程序指令能够执行第一方面的各种可能的实现方式中任一种可能的实现方式所提供的接入点身份鉴别方法。

根据本发明的第四方面，提供了一种非暂态计算机可读存储介质，非暂态计算机可读存储介质存储计算机指令，计算机指令使计算机执行第一方面的各种可能的实现方式中任一种可能的实现方式所提供的接入点身份鉴别方法。

本发明实施例提供的接入点身份鉴别方法及装置，通过获取接入点发送信号时的无线信号强度信息，将无线信号强度信息输入至粗粒度认证模型，输出接入点的第一层身份标识，粗粒度认证模型是基于样本无线信号强度信息及样本无线信号强度对应的身份标识训练得到的。由于实现了轻量级身份鉴别算法较高的准确度，从而让恶意接入点难以仿造。其次，由于身份鉴别是采用机器学习的方式，从而能较准确地的发现恶意接入点。最后经过验证，本发明实施例提供的方法及装置可以有效抵抗多种攻击，如普通的冒名恶意接入点的攻击，及复杂的基于推理的恶意接入点的攻击。。

应当理解的是，以上的一般描述和后文的细节描述是示例性和解释性的，并不能限制本发明实施例。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种接入点身份鉴别系统的场景示意图；

图2为本发明实施例提供的一种接入点身份鉴别方法的流程示意图；

图3为本发明实施例提供的一种接入点身份鉴别方法的流程示意图；

图4为本发明实施例提供的一种接入点身份鉴别装置的结构示意图；

图5为本发明实施例提供的一种电子设备的框图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

针对相关技术中的问题，本发明实施例提供了一种接入点身份鉴别方法。该方法可以应用在接入点的身份鉴别系统中。其中，该系统的网络拓扑可参考图1。在图1的无线局域网中，通常会存在多个接入点，其中一些是合法接入点，其中一些是恶意接入点。另外，图1中还包括认证中心，认证中心用于对无线局域网内的所有接入点进行认证。当存在恶意接入点时，就有可能伪装成合法接入点以进行进一步的攻击。本发明实施例提供的方法主要基于该场景进行设计，该方法的执行主体可以为认证中心，本发明实施例对此不作具体限定。

参见图2，该方法包括：201、获取接入点发送信号时的无线信号强度信息；202、将无线信号强度信息输入至粗粒度认证模型，输出接入点的第一层身份标识，粗粒度认证模型是基于样本无线信号强度信息及样本无线信号强度对应的身份标识训练得到的。

其中，201及202的过程可以通过认证中心中的粗粒度认证模块实现。粗粒度认证模块主要是用于基于无线局域网中接入点发送的信标信息的无线信号强度，来初步判断指定接入点的合法性。粗粒度认证模块里还包括无线信号强度信息收集功能，以用于训练粗粒度认证模型。另外，将样本无线信号强度信息作为初始模型的输入，将样本无线信号强度对应的身份标识作为初始模型的输出，可以训练得到粗粒度认证模型。

该训练过程也即为线下训练过程，主要是从实际场景中收集合法接入点的样本无线信号强度信息以及恶意接入点的样本无线信号强度信息，从而基于两者对初始模型进行训练，得到粗粒度认证模型，本发明实施例对此不作具体限定。初始模型可以采用深度神经网络模型，也可以采用其它机器学习模型，本发明实施例对此也不作具体限定。实际实施过程中，选用的初始模型可以与实际测试环境结合，也即预先准备多种初始认证模型，根据实际测试环境中不同初始模型训练后对应的鉴别效果，以选用效果好的初始模型，本发明实施例对此不作具体限定。

需要说明的是，粗粒度认证模型的输出可以为0或1的变量，也即将0和1作为身份标识。其中，0表示合法标识，1表示恶意标识。还需要说明的是，对于粗粒度认证模型的输入，采用的是无线信号强度信息。考虑到环境干扰和模型训练异常等因素，可以将获取的无线信号强度信息进行去噪以及去异常处理，从而进行归一化处理再可作为粗粒度认证模型的输入。

本发明实施例提供的方法，通过获取接入点发送信号时的无线信号强度信息，将无线信号强度信息输入至粗粒度认证模型，输出接入点的第一层身份标识，粗粒度认证模型是基于样本无线信号强度信息及样本无线信号强度对应的身份标识训练得到的。由于实现了轻量级身份鉴别算法较高的准确度，从而让恶意接入点难以仿造。其次，由于身份鉴别是采用机器学习的方式，从而能较准确地的发现恶意接入点。最后经过验证，本发明实施例提供的方法可以有效抵抗多种攻击，如普通的冒名恶意接入点的攻击，及复杂的基于推理的恶意接入点的攻击。。

基于上述实施例的内容，作为一种可选实施例，本发明实施例不对获取接入点发送信号时的无线信号强度信息的方式作具体限定，包括但不限于：根据接入点按照预设周期广播发送的信标信息，收集无线信号强度信息。

由于粗粒度认证模块是基于无线信号强度信息，可能存在误判从而影响合法接入点的正常通信，从而在粗粒度认证模块输出接入点的第一层身份标识后，可结合具体情况，判断是否需要通过细粒度认证模块作进一步地鉴别。其中，细粒度认证模块是当粗粒度认证模块怀疑接入点为恶意接入点时，用于进一步判断指定接入点的合法性。细粒度认证模块里包括无线信道状态信息的收集功能，用于训练细粒度认证模型。

基于上述实施例的内容，作为一种可选实施例，将无线信号强度信息输入至粗粒度认证模型，输出接入点的身份标识之后，还包括：若接入点的第一层身份标识为恶意标识，则获取接入点发送信号时的无线信道状态信息；将无线信道状态信息输入至细粒度认证模型，输出接入点的第二层身份标识，细粒度认证模型是基于样本无线信道状态信息及样本无线信道状态信息对应的身份标识训练得到的。

上述过程可以通过认证中心中的细粒度认证模块实现。细粒度认证模块主要是用于基于无线局域网中接入点发出请求帧时的无线信号强度，来进一步判断指定接入点的合法性。细粒度认证模块里还包括无线信道状态信息的收集功能，以用于训练细粒度认证模型。另外，将样本无线信道状态信息作为初始模型的输入，将样本无线信道状态信息对应的身份标识作为初始模型的输出，可以训练得到细粒度认证模型。

该训练过程也即为线下训练过程，主要是从实际场景中收集合法接入点的样本无线信道状态信息以及恶意接入点的样本无线信道状态信息，从而基于两者对初始模型进行训练，得到细粒度认证模型，本发明实施例对此不作具体限定。初始模型可以采用深度神经网络模型，也可以采用其它机器学习模型，本发明实施例对此也不作具体限定。实际实施过程中，选用的初始模型可以与实际测试环境结合，也即预先准备多种初始认证模型，根据实际测试环境中不同初始模型训练后对应的鉴别效果，以选用效果好的初始模型，本发明实施例对此不作具体限定。

需要说明的是，细粒度认证模型的输出也可以为0或1的变量，也即将0和1作为身份标识。其中，0表示合法标识，1表示恶意标识。另外，对于细粒度认证模型的输入，采用的是无线信道状态信息。考虑到环境干扰和模型训练异常等因素，可以将获取的无线信道状态信息进行去噪以及去异常处理，从而进行归一化处理再可作为细粒度认证模型的输入。上述粗粒度认证过程及细粒度认证过程即为线上鉴别过程。

本发明实施例提供的方法，通过当接入点的第一层身份标识为恶意标识时，则获取接入点发送信号时的无线信道状态信息。将无线信道状态信息输入至细粒度认证模型，输出接入点的第二层身份标识。由于实现了轻量级身份鉴别算法较高的准确度，从而让恶意接入点难以仿造。其次，由于身份鉴别是采用机器学习的方式，从而能较准确地的发现恶意接入点。另外，由于采用了基于无线信号强度的粗粒度认证以及基于无线信道状态的细粒度认证，从而降低了鉴别时的误判率。

基于上述实施例的内容，作为一种可选实施例，本发明实施例不对获取接入点发送信号时的无线信道状态信息的方式作具体限定，包括但不限于：根据接入点中的指定网卡以指定频率发送的请求帧，收集无线信道状态信息。

基于上述实施例的内容，作为一种可选实施例，将无线信道状态信息输入至细粒度认证模型，输出接入点的第二层身份标识之后，还包括：若接入点的第二层身份标识为恶意标识，则确定接入点为恶意接入点。

需要说明的是，在确定接入点为恶意接入点后，可以执行进一步的制止措施。将无线信号强度信息输入至粗粒度认证模型，输出接入点的第一层身份标识后，若接入点的第一层身份标识为合法标识，则不作任何进一步操作。若接入点的第一层身份标识为恶意标识，则可按照上述过程进行细粒度认证。若接入点的第二层身份标识为合法标识，则可以不作任何进一步操作。另外，上述粗粒度认证过程及细粒度认证过程，具体可参考图3。

基于上述实施例的内容，作为一种可选实施例，无线信道状态信息包括以下信息中的至少一项，以下信息分别为幅度、相位、子载波信息及天线信息。

基于上述实施例的内容，本发明实施例提供了一种接入点身份鉴别装置，该接入点身份鉴别装置用于执行上述方法实施例中提供的接入点身份鉴别方法。参见图4，该装置包括：

第一获取模块401，用于获取接入点发送信号时的无线信号强度信息；

第一输出模块402，用于将无线信号强度信息输入至粗粒度认证模型，输出接入点的第一层身份标识，粗粒度认证模型是基于样本无线信号强度信息及样本无线信号强度对应的身份标识训练得到的。

作为一种可选实施例，第一获取模块401，用于根据接入点按照预设周期广播发送的信标信息，收集无线信号强度信息。

作为一种可选实施例，该装置还包括：

第二获取模块，用于当接入点的第一层身份标识为恶意标识时，则获取接入点发送信号时的无线信道状态信息；

第二输出模块，用于将无线信道状态信息输入至细粒度认证模型，输出接入点的第二层身份标识，细粒度认证模型是基于样本无线信道状态信息及样本无线信道状态信息对应的身份标识训练得到的。

作为一种可选实施例，第二获取模块，用于根据接入点中的指定网卡以指定频率发送的请求帧，收集无线信道状态信息。

作为一种可选实施例，该装置还包括：

确定模块，用于当接入点的第二层身份标识为恶意标识时，则确定接入点为恶意接入点。

作为一种可选实施例，该装置还包括：

无线信道状态信息包括以下信息中的至少一项，以下信息分别为幅度、相位、子载波信息及天线信息。

本发明实施例提供的装置，通过获取接入点发送信号时的无线信号强度信息，将无线信号强度信息输入至粗粒度认证模型，输出接入点的第一层身份标识，粗粒度认证模型是基于样本无线信号强度信息及样本无线信号强度对应的身份标识训练得到的。由于实现了轻量级身份鉴别算法较高的准确度，从而让恶意接入点难以仿造。其次，由于身份鉴别是采用机器学习的方式，从而能较准确地的发现恶意接入点。最后经过验证，本发明实施例提供的装置可以有效抵抗多种攻击，如普通的冒名恶意接入点的攻击，及复杂的基于推理的恶意接入点的攻击。

图5示例了一种电子设备的实体结构示意图，如图5所示，该电子设备可以包括：处理器(processor)510、通信接口(communicationsinterface)520、存储器(memory)530和通信总线540，其中，处理器510，通信接口520，存储器530通过通信总线540完成相互间的通信。处理器510可以调用存储器530中的逻辑指令，以执行如下方法：获取接入点发送信号时的无线信号强度信息；将无线信号强度信息输入至粗粒度认证模型，输出接入点的第一层身份标识，粗粒度认证模型是基于样本无线信号强度信息及样本无线信号强度对应的身份标识训练得到的。

此外，上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，电子设备，或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

本发明实施例还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各实施例提供的方法，例如包括：获取接入点发送信号时的无线信号强度信息；将无线信号强度信息输入至粗粒度认证模型，输出接入点的第一层身份标识，粗粒度认证模型是基于样本无线信号强度信息及样本无线信号强度对应的身份标识训练得到的。

以上所描述的装置实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。